5月WannaCry病毒才刚刚过去,近日代号为petya的勒索病毒又袭击了英国、乌克兰等多个国家。
01.据美联社等外媒27日报道,新一轮超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。有机场、银行及大型企业被报告感染病毒。报道称,这轮病毒足以与五月席卷全球的勒索病毒的攻击性相提并论。
02.据新华社消息,俄罗斯一些机构和企业的电脑27日遭勒索病毒攻击,导致相关网站和系统无法正常工作。俄罗斯石油公司当天在社交媒体“推特”上发布声明说,该公司的服务器遭到病毒攻击,导致公司官网一度不能访问。此外,公司还不得不启用备用生产管理系统。
03.同一天,乌克兰部分政府机构及多家重要企业的电脑遭遇大范围黑客攻击,多地出现互联网中断和电脑故障。乌国家安全部门和警方已采取措施并展开调查。
04.27日18点左右,腾讯云联合腾讯电脑管家发现相关样本在国内出现,腾讯云已实时启动用户防护引导,截止目前为止,云上用户尚无感染案例。
据分析,petya病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。同时,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
电脑重启后,会显示一个伪装界面,此界面实际是病毒显示的,界面上假称正在进行磁盘扫描,其实正在对磁盘数据进行加密操作。当加密完成后,病毒会要求受害者支付价值300美元的比特币之后,才会予以解密密钥。
▲ Petya勒索病毒感染的电脑
变种病毒威胁升级
专家称,这种攻击手法十分类似于曾在上个月肆虐全球的勒索病毒,不过看起来比当时的勒索病毒更加专业、也更难以对付。
①Petya勒索病毒变种的传播速度更快。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
② 感染并加密本地文件的病毒进行了更新,杀毒软件除非升级至最新版病毒库,否则无法查杀及阻止其加密本机文件系统
③ Petya综合利用了“5.12WannaCry”及“6.23勒索病毒新变种”所利用的所有Windows系统漏洞,包括MS17-010(5.12WannaCry永恒之蓝勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新变种)等补丁对应的多个系统漏洞进行传播
④Petya直接将整个硬盘加密和锁死,用户重启后直接进入勒索界面,若不支付比特币将无法进入系统。
具体的预防方法如下,招招管用
1.限制管理员权限。Petya勒索病毒的运行需要管理员权限,企业网管可以通过严格审查限制管理员权限的方式减少攻击面,个人用户可以考虑使用非管理员权限的普通账号登陆进行日常操作。
具体关闭教程:win7系统如何禁用管理员权限?
2.关闭系统崩溃重启。Petya勒索病毒运行需要系统重启,因此想办法避免系统重启也能有效防御Petya并争取漏洞修补或者文件抢救时间。大多数Windows系统都被设置为崩溃自动重启,用户可以在系统中关闭此设置。
3. 更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4. 更新 Microsoft Office/WordPad远程执行代码漏洞(CVE -2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5. 禁用 WMI服务
关闭的方法:WMI是什么服务?可以关闭吗?怎么关闭?
6.更新杀毒软件
目前,市面上主流的杀毒软件与电脑保护软件均有插件或程序、如360安全卫士和电脑管家都已经开始对Petya进行查杀预防了,可以绝大程度上保护电脑不受新型勒索病毒感染。用户只需在软件内搜索Petya,或到其官网搜索修复工具即可。
7.中招也不要支付赎金。Petyawrap的赎金接收邮箱已经关闭,而且也没有C&C命令控制服务器,这意味着Petyawrap受害者已经没有办法支付赎金解密文件。有业界人士认为这种不要赎金直接“撕票”的做法背后另有企图。
总结:大家还记得上次的比特币勒索病毒吗?希望大家警惕起来,不要再像上一次一样毫无准备了